Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] '33shutochka1aaa332addd' = '%WINDIR%\zreklem.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\reklem.exe'
- '%TEMP%\1.tmp\zreklem.exe'
- '%TEMP%\1.tmp\EroZritel_468.exe'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\3.tmp\reklem.bat" "
- '<SYSTEM32>\ping.exe' -n 2800 127.0.0.1
- '<SYSTEM32>\reg.exe' add hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /v 33shutochka1aaa332addd /t REG_SZ /d %WINDIR%\zreklem.exe /f
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\ПРОГРАММА_ДЛЯ_ПРОСМОТРА_ОНЛАЙН_П0РН0.bat" "
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\2.tmp\zreklem.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\reklem.exe
- %TEMP%\2.tmp\zreklem.bat
- %TEMP%\3.tmp\reklem.bat
- %WINDIR%\zreklem.exe
- %TEMP%\1.tmp\reklem.exe
- %TEMP%\1.tmp\ПРОГРАММА_ДЛЯ_ПРОСМОТРА_ОНЛАЙН_П0РН0.bat
- %TEMP%\1.tmp\EroZritel_468.exe
- %TEMP%\1.tmp\zreklem.exe
Удаляет следующие файлы:
- %TEMP%\2.tmp\zreklem.bat
- %TEMP%\1.tmp\ПРОГРАММА_ДЛЯ_ПРОСМОТРА_ОНЛАЙН_П0РН0.bat
Сетевая активность:
Подключается к:
- 'er###itel.com':80
- 'localhost':1038
TCP:
Запросы HTTP GET:
- er###itel.com/aaaa.php?ve###############
- er###itel.com/aaa2.php?no#######
UDP:
- DNS ASK er###itel.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
